全球高級持續性威脅(APT)2018年中報告
責編:gltian |2018-08-07 14:20:23序言
APT,又稱高級持續性威脅,通常用于區分由國家、政府或情報機構資助或具有相關背景的攻擊團伙實施的攻擊行動。該類攻擊行動的動機往往與地緣政治沖突,軍事行動相關,并以長久性的情報刺探、收集和監控為主要意圖,其主要攻擊的目標除了政府、軍隊、外交相關部門外,也包括科研、海事、能源、高新技術等領域。
近年來,結合國內外各個安全研究機構、安全廠商對APT類威脅活動的持續跟蹤和分析的結果,可以看到攻擊團伙使用的攻擊戰術、技術和過程已經達到非常成熟的階段,即便部分攻擊團伙的技術能力不高,但也能通過利用公開的或開源的腳本類或自動化攻擊框架快速形成完備的攻擊武器。攻擊團伙不但使用針對個人PC、服務器和目標內部網絡的攻擊向量技術,并且覆蓋了移動設備和家用路由器,其攻擊目標也延伸至金融、工業控制、醫療、酒店領域。
本報告是360威脅情報中心結合公開的威脅情報和內部情報數據,針對2018年上半年高級威脅事件相關的分析和總結,并對近半年的APT攻擊活動所呈現的態勢進行分析。
主要觀點
近期的APT攻擊活動呈現出明顯的地緣政治特征,當前主要活躍的APT攻擊活動可以劃分為如下幾塊:中東地區、東歐和中亞、亞太地區、美國和歐洲。
近半年來,針對境內的APT攻擊活動異常活躍,從360威脅情報中心的監測來看,至少存在8個不同來源的APT組織在上半年都有不同程度的,針對境內機構實施了攻擊活動,這可能也與近年來中國在亞太地區的國際形勢有關。
APT攻擊組織更多的引入一些公開或開源的工具和攻擊框架,并用于實際的攻擊活動中,而不再單純依賴自身開發的網絡攻擊武器。其在初始攻擊階段更多使用一些輕量級的攻擊技術,只有針對明確的高價值目標才會觸發后續階段載荷的植入。這說明攻擊者對后續攻擊載荷的投放更加謹慎,以避免過早的暴露其整體的攻擊鏈路。
APT組織在攻擊行動中刻意引入的false flag,有意避免和過去的攻擊行動產生重合,增大了威脅分析中對背景研判的難度。例如在攻擊韓國平昌奧運會的事件中,多家安全廠商對其攻擊來源的歸屬做出了不同的分析和推斷。
針對移動設備、路由器的攻擊技術給網絡間諜活動帶來了更多的攻擊向量,例如賽門鐵克披露的Inception Framework組織[2]利用UPnProxy技術[3]攻擊路由器用于構建隱匿的回傳控制網絡。
摘要
近半年來,全球APT攻擊活動呈現出較高的活躍程度。360威脅情報中心在近半年中監測到的APT相關公開報告(從2017.12月至2018.6月)也多達227篇。本次研究主要以2017年底至2018年上半年,全球各研究機構公開披露的APT報告或研究成果為基礎,對當前的APT攻擊形勢進行綜合分析。
2018年上半年,APT攻擊活動呈現出明顯的地緣政治特征,當前主要活躍的APT攻擊活動可以劃分為如下幾塊:中東地區、東歐和中亞、亞太地區、美國和歐洲。
2018年上半年,至少存在8個不同來源的APT組織針對境內實施APT攻擊行動。它們分別是:海蓮花、摩訶草、蔓靈花、Darkhotel、APT-C-01、藍寶菇,以及另外兩個已被360威脅情報中心監測到,但尚未被任何組織機構披露的APT組織。
APT威脅的攻防技術對抗持續升級。其中,0day漏洞利用能力日益提升;結合開源工具和自動化攻擊框架提高攻擊效率;不斷加強對自身攻擊手法特點的掩蓋和迷惑性;更多的展開對移動設備和路由器攻擊等,成為2018年上半年全球APT攻擊的重要特點。
第一章?地緣政治背后的攻擊團伙
近半年來,全球APT攻擊活動呈現出較高的活躍程度。360威脅情報中心在近半年中監測到的APT相關公開報告(從2017年12月至2018年6月)也多達227篇。本次研究主要以2017年底至2018年上半年,全球各研究機構公開披露的APT報告或研究成果為基礎,對當前的APT攻擊形勢進行綜合分析。
近半年來,APT攻擊活動呈現出明顯的地域特征,這也與國家背景黑客團伙間的圍繞以地緣政治因素和間諜情報活動為主要意圖的動機有關。當前主要活躍的APT攻擊團伙其攻擊活動的地域范圍可以大體分為四塊:中東地區,東歐和中亞,亞太地區,美國和歐洲。
一、?中東地區
中東地區常以動亂的政治局勢,復雜的宗教背景,和豐富的能源資源為主,其地域下的網絡間諜攻擊活動尤為頻繁,大多圍繞以地緣沖突的國家政府和機構為主要目標,也以包括工業,能源行業,以及持不同見政者。
2018年上半年,被全球各個研究機構披露的中東地區最為活躍的APT組織中,有多個組織被認為與伊朗有關。這可能與RecordedFuture宣稱的伊朗利用多個承包商和大學分層承包策略實施其網絡攻擊活動的背景有關[5]。
| 組織名稱 | 攻擊目標地域 | 主要攻擊目標 |
|---|---|---|
| APT34 | 中東地區 | 金融、政府、能源、化工、電信 |
| MuddyWater | 中東和中亞,包括土耳其、巴基斯坦、塔吉克斯坦 | |
| Chafer | 以色列、約旦、阿聯酋,沙特阿拉伯和土耳其 | 航空、海運、電信相關機構及其軟件和IT公司 |
| OilRig | 中東地區,包括伊拉克、以色列等;巴基斯坦和英國 | 石油、天然氣、電力等能源機構和工業控制系統 |
表1??部分攻擊中東地區的APT組織的主要攻擊地域與攻擊目標比較
下面主要對APT34、MuddyWater,以及2018年1月,由360威脅情報中心披露的,針對敘利亞地區展開攻擊的黃金鼠組織(APT-C-27)進行介紹。
(一)?APT34
APT34是由FireEye披露的,被認為是來自伊朗的APT組織,其最早攻擊活動至少可以追溯到2014年[6]。APT34主要利用魚叉攻擊。該組織過去的魚叉攻擊活動主要是投遞帶有惡意宏的誘導文檔,而其近半年的攻擊活動中則更多的使用魚叉郵件投遞漏洞利用RTF文檔(CVE-2017-0199和CVE-2017-11882)。被投遞的惡意文檔主要是向受害目標主機植入其自制的PowerShell后門程序達到攻擊目的,其主要使用的兩個PowerShell后門為POWRUNER和BONDUPDATER。
| 后門名稱 | 持久性 | 控制通信 | 主要功能 |
|---|---|---|---|
| POWRUNER | 計劃任務 | HTTP | 文件上傳,截屏 |
| BONDUPDATER | 計劃任務 | DGA生成子域名 | 實現命令控制 |
表2? APT34組織使用的兩個PowerShell后門
(二)?MuddyWater
MuddyWater是另一個被認為是來自伊朗的APT組織,其最早攻擊活動可以追溯到2017年,并在2018年初發起了多次魚叉攻擊活動。
MuddyWater利用魚叉郵件投遞嵌有惡意宏的文檔文件,其執行VBS腳本或利用scriptlet植入PowerShell后門POWERSTATS,其回連的控制鏈接主要利用被攻擊的網絡站點。
APT34和MuddyWater這兩個組織的攻擊特點對比如下。
| 攻擊行為 | 具體攻擊方式 | APT34 | MuddyWater |
|---|---|---|---|
| 攻擊入口 | 魚叉攻擊 | √ | √ |
| 初始植入 | 文檔漏洞 | √ | |
| 惡意宏文檔 | √ | √ | |
| 載荷執行 | 腳本執行 | √ | |
| PowerShell后門 | √ | √ | |
| 控制回傳 | DGA | √ | |
| 失陷網站 | √ |
表3? APT34和MuddyWater的攻擊特點對比
(三)?黃金鼠
2018年1月,360威脅情報中心披露了一個針對敘利亞地區新的APT組織黃金鼠(APT-C-27)[27]。
研究顯示,從2014年11月起至今,黃金鼠組織(APT-C-27)對敘利亞地區展開了有組織、有計劃、有針對性的長時間不間斷攻擊。攻擊平臺從開始的Windows平臺逐漸擴展至Android平臺。
2015年7月,敘利亞哈馬市新聞媒體在Facebook上發布了一則消息,該條消息稱帶有“土耳其對敘利亞邊界部署反導彈系統進行干預,詳細信息為http://www.gulfup.com/?MCVlNX”的信息為惡意信息,并告誡大家不要打開信息中鏈接,該鏈接為黑客入侵鏈接。哈馬市揭露的這次攻擊行動,就是我們在2016年6月發現的針對敘利亞地區的APT攻擊。從新聞中我們確定了該行動的攻擊目標至少包括敘利亞地區,其載荷投遞方式至少包括水坑式攻擊。
目前已知的,黃金鼠組織的主要攻擊活動,如下圖所示。
二、?東歐和中亞
東歐和中亞地區的APT攻擊活動主要以被認為是俄羅斯背景的APT組織實施,這也與俄羅斯在東歐和中亞的政治軍事沖突和戰略地位有關,包括烏克蘭、格魯吉亞等。結合歷史各研究機構對多個被認為是俄羅斯背景的攻擊組織的披露情況分析,這些組織主要的攻擊目標不僅針對東歐和中亞地區,也針對北美和北約組織等國。
相比于其他地區的多數APT組織,被認為是俄羅斯背景的APT組織通常擁有更高的攻擊技術能力,并實現了其自有的完備的攻擊武器。近年來被公開披露的相關APT組織主要活動如下表所示。
| 組織名稱 | 攻擊目標地域 | 主要攻擊目標 |
|---|---|---|
| APT28 | 東歐和中亞,包括烏克蘭,格魯吉亞,土耳其等北美和歐洲 | 政府機構,外交部門 |
| APT29 | 烏克蘭,格魯吉亞,美國,北約等 | 政府機構,智庫,NGO |
| Turla | 東歐 | 大使館和領事館,國防工業 |
| Energetic Bear | 烏克蘭,美國,英國等 | 能源和工業部門 |
表4??部分被認為是俄羅斯背景的APT組織2018年上半年主要活動
下面主要針對最為活躍,也最引人關注的APT28組織進行詳細說明。
APT28被認為是隸屬于俄羅斯軍事情報機構GRU背景的APT組織,其與另一個據稱和俄情報機構有關的APT29常被美國DHS統稱為GRIZZLY STEPPE。
APT28是一個高度活躍的APT攻擊組織,其擁有如DealersChoice的漏洞利用攻擊套件和Xagent這樣針對多平臺的攻擊木馬程序。
該組織在2018年上半年的主要攻擊活動如下:
| 攻擊活動時間 | 攻擊活動簡介 |
|---|---|
| 2018年2月初 | 針對兩個涉外政府機構的攻擊活動[10] |
| 2018年3月9日 | 卡巴斯基總結了APT28在2018年的攻擊活動現狀和趨勢[11] |
| 2018年3月12日-14日 | 針對歐洲政府機構的攻擊活動[10] |
| 2018年4月24日 | 安全廠商披露APT28近兩年的攻擊活動中主要使用Zebrocy作為初始植入的攻擊載荷[12] |
| 2018年5月1日 | 安全廠商發現APT28修改Lojack軟件的控制域名實現對目標主機的監控[9] |
| 2018年5月8日 | 美聯社披露APT28組織偽裝IS對美國軍嫂發送死亡威脅信息[8] |
| 2016年至2018年5月 | APT28針對烏克蘭家用路由器設備的攻擊事件,被命名為VPNFilter[7] |
表5? APT28組織在2018年上半年的主要攻擊活動
在近期該組織的攻擊活動中,其主要利用DDE或宏代碼投放初始階段的攻擊載荷Zebrocy,其是使用AutoIt和Delphi實現的用于初步植入的攻擊載荷,可用于信息收集和將后續階段載荷(如Xagent)投遞到高價值的攻擊目標主機。
在初始攻擊階段,其也開始使用PowerShell腳本實現部分功能,并利用開源的后滲透工具Koadic替代該組織自行研制的木馬后門程序[10]。
三、?亞太地區
亞太地區的APT攻擊活動主要可以分為圍繞朝鮮半島局勢,南亞和東南亞的地緣政治沖突以及針對我國境內的APT攻擊活動,而其中以據稱是朝鮮來源的APT組織尤為活躍。
被認為是朝鮮背景的APT組織主要以Lazarus Group和Group 123為主,并且Lazarus Group組織下存在部分子組織,其具有相對獨立的攻擊目標和攻擊動機,并且與Lazarus使用的攻擊工具和惡意載荷存在部分交叉。結合公開的披露報告,我們整理被認為是朝鮮APT組織的層次結構如下。
| APT組織名稱 | 主要攻擊目標地域 | 主要攻擊目標領域 | 組織簡述 |
|---|---|---|---|
| Lazarus Group | 韓國 | 政府,銀行等 | 朝鮮背景最為活躍的APT組織 |
| Bluenoroff group | 歐洲東南亞等 | 銀行機構,SWIFT系統 | Lazarus下專門針對銀行機構的攻擊子組織 |
| Andariel Group | 韓國 | 政府,企業,加密幣交易機構等 | 定向攻擊韓國的子組織[13] |
| COVELLITE | 全球范圍 | 民用電力,ICS | 與Lazarus有關專門針對工業控制網絡的攻擊組織[14] |
| Group 123 | 韓國日本俄羅斯中國 | 政府、軍事、國防,電子、制造業、航空航天、汽車和醫療保健實體 | 以秘密情報搜集為主要目的,最早攻擊活動至少可以追溯到2012年[15][16] |
| Sun Team | 韓國 | 脫北者,記者 | 主要移動APT攻擊活動 |
表6??部分被認為是朝鮮背景的APT組織2018年上半年主要活動分析
下面主要針對最為活躍的Lazarus Group進行進一步的分析。Lazarus Group被認為是朝鮮人民軍121局背景下的APT組織,美國DHS通常將該組織的攻擊行動稱為“Hidden Cobra”。
該組織最早的攻擊活動可以追溯到2007年,其歷史攻擊行動主要目的是以圍繞地緣和政治因素的網絡破壞和情報竊取,在其后續的攻擊活動中也出現了以全球部分金融機構,數字貨幣交易機構為主要攻擊目標的攻擊行動,并以資金和數字貨幣盜取為目的。
該組織近2017年年來被披露的主要攻擊活動情況如下。
| 攻擊活動時間 | 攻擊活動簡介 |
|---|---|
| 2017年3月-11月 | Lazarus在移動終端設備上的攻擊活動 |
| 2017年6月 | 安全廠商發現新的RATANKBA變種,其利用PowerShell替代可執行形態實現 |
| 2017年10月-12月 | 針對倫敦數字貨幣交易公司的攻擊 |
| 2017年末 | 針對中美洲在線賭場的攻擊 |
| 2018年2月 | 針對土耳其金融行業的攻擊 |
| 2018年3月 | 安全廠商披露Lazarus一系列攻擊行動,并命名為Operation GhostSecret |
| 2018年4月27日 | 泰國CERT發布朝鮮Hidden Cobra組織的GhostSecret攻擊行動預警 |
| 2018年4月-5月 | 針對南美多個銀行的攻擊,包括墨西哥銀行和智利銀行等 |
| 2018年5月29日 | 美國CERT發布了關于HIDDEN COBRA組織RAT工具和一個SMB蠕蟲的預警 |
| 2018年6月14日 | 美國CERT再次發布HIDDEN COBRA使用VBA宏分發新的惡意代碼預警 |
表7? 2017年以來Hidden Cobra組織的主要攻擊活動
從該組織近期被披露的攻擊活動來看,其主要攻擊的目標可能更多轉移到金融,銀行或加密貨幣機構相關,這可能也與朝鮮實施APT攻擊需要大量資金需求有關。
四、?美國和歐洲
從2015年7月,著名網絡軍火商Hacking Team內部400GB數據被泄露,包括內部郵件內容,其開發的監控系統RCS及相關源碼文檔資料。2016年8月,黑客組織“影子經紀人”公開披露并拍賣據稱是NSA的網絡武器庫資料,后被證實;2017年3月,維基解密網站公開披露CIA關于Vault 7項目的相關資料。
上述泄露事件展現了美國相關情報機構背景的國家政府黑客組織擁有非常復雜和先進的攻擊技術。同樣,歐洲擁有一些老牌網絡軍火商,如Hacking Team,FinFinsher等,將其完備的攻擊能力和網絡武器提供和販賣給各國政府或情報機構。由于其先進和復雜的攻擊技術,其相關攻擊活動更加隱匿而難以發現。
卡巴斯基在上半年發現了一個針對中東和非洲的網絡間諜活動,其利用了Windows漏洞和Mikrotik路由器漏洞實施,被命名為Slingshot[17]。后被美國情報辦公室披露其為美軍方Special Operations Command (SOCOM)下的Joint Special Operations Command (JSOC)所為?[18]。
第二章?頻繁針對境內的APT攻擊
根據360威脅情報中心對2018年上半年的APT攻擊活動監測,近半年來,針對境內的APT攻擊活動異常活躍。2018年上半年,至少存在8個不同來源的APT組織針對境內實施APT攻擊行動。它們分別是:海蓮花、摩訶草、蔓靈花、Darkhotel(APT-C-06)、APT-C-01、藍寶菇、,以及另外兩個已被360威脅情報中心監測到,但尚未被任何組織機構披露的APT組織。
一、?海蓮花
“海蓮花”APT組織是一個長期針對我國政府、科研院所、海事機構、海域建設、航運企業等領域的APT攻擊組織,該組織不僅頻繁對我國境內實施APT攻擊,也針對東南亞周邊國家實施攻擊,包括柬埔寨,越南等。
360威脅情報中心在2018年上半年發布的“海蓮花APT團伙利用CVE-2017-8570漏洞的新樣本及關聯分析”的報告[1]中,披露了該組織近期的魚叉攻擊活動。
總的來說,“海蓮花”組織在近半年的攻擊活動中基本延續過去的攻擊戰術技術特點,其主要使用魚叉攻擊投遞誘導漏洞文檔或內嵌惡意宏代碼的文檔。
我們也發現“海蓮花”組織正在測試新的初始植入方式和攻擊利用技術,并進行武器化,包括:
1)??利用DKMC開源框架的代碼加載shellcode
2)??通過修改CLSID注冊表鍵值實現持久性
3)??實現多種白利用技術,包括Flash Player、Word、Google Update等
4)??更多使用Cobalt Strike生成的shellcode和攻擊載荷實現對攻擊目標的監控。
“海蓮花”組織采用多階段的shellcode和植入腳本,并加以嚴重的混淆來對抗檢測和分析,其還不斷發掘新的白利用技術等來對抗主機的一些安全防御機制。該組織還大量使用商業或開源的攻擊框架,如Cobalt Strike和DKMC,并作為后續的攻擊載荷模塊。
我們相信“海蓮花”組織正在積極更新和準備新的攻擊利用技術,并將應用于未來的攻擊活動中。
二、?摩訶草
“摩訶草”組織,主要針對中國、巴基斯坦等亞洲地區和國家進行網絡間諜活動。在針對中國地區的攻擊中,該組織主要針對政府機構、科研教育領域進行攻擊。根據能力型廠商針對APT組織和報告的互認共識,該APT組織也是安天所發布的“白象”組織。360威脅情報中心在上半年披露了該組織利用新的腳本類攻擊載荷的技術和針對境內的多起魚叉攻擊事件的分析[1]。
該組織主要使用魚叉郵件投遞誘導文檔附件。
其攻擊利用過程如下圖所示,主要使用C#開發的控制程序。
該組織上半年的攻擊活動也被國內外安全廠商多次披露。
| 披露時間 | 披露廠商 | 描述 |
|---|---|---|
| 2018年2月13日 | 趨勢科技 | 披露Confucius的攻擊活動,其與Patchwork攻擊活動存在部分重疊。[19] |
| 2018年3月7日 | Palo ?Alto Networks | 利用惡意代碼BADNEWS在印度次大陸的網絡攻擊活動分析[20] |
| 2018年3月8日 | ARBOR NETWORKS | Donot Team在南亞的網絡攻擊活動,并提出其與Patchwork存在一些相似之處[21]。后續,360威脅情報中心披露了該組織與內部跟蹤的APT-C-35(肚腦蟲)相關[1]。 |
| 2018年5月23日 | 趨勢科技 | 披露Confucius更多的攻擊技術細節,和其與Patchwork的更多關聯性[22] |
| 2018年6月7日 | Volexity | Patchwork攻擊美國智庫[23] |
表8? 2018年上半年國內外安全廠商對“摩訶草”組織的研究情況
三、 Darkhotel
Darkhotel是一個長期針對企業高管、國防工業、電子工業等重要機構實施網絡間諜攻擊活動的APT組織。2014年11月,卡巴斯基實驗室的安全專家首次發現了Darkhotel APT組織,并聲明該組織至少從2010年就已經開始活躍,目標基本鎖定在韓國、中國、俄羅斯和日本。360威脅情報中心也發布報告“DarkHotelAPT團伙新近活動的樣本分析”[1]公開披露其近期的攻擊技術細節。
該組織利用魚叉攻擊投遞誘導文檔,利用如下的技術植入主控DLL模塊。主控DLL模塊通過實現插件化能夠靈活加載和執行具有不同功能的插件DLL模塊。
1)?????白利用
2)?????UAC繞過
3)?????圖片文件隱寫
4)?????DLL劫持
5)?????內存反射加載
其主要的攻擊利用過程如下圖。
四、 藍寶菇
2018年7月初,360威脅情報中心披露了一個長期對我國政府、軍工、科研、金融等重點單位和部門進行了持續的網絡間諜活動的APT組織藍寶菇(APT-C-12)。
360追日團隊捕獲的首個藍寶菇組織專用木馬出現在2011年3月左右。從時間段上看,在2011-2012年,核危機行動所使用的主要攻擊木馬是Poison Ivy;而到了2013-2014年,Poison Ivy雖然仍在繼續使用,但被升級到了幾個全新的版本;2014年三季度–2015年,核危機行動開始大量進行橫向移動攻擊,并從2014年底開始,使用Bfnet后門。
截止2018年5月,360追日團隊已經監測到核危機行動攻擊針對的境內目標近30個。其中,教育科研機構占比最高,達59.1%,其次是政府機構,占比為18.2%,國防機構排第三,占9.1%。其他還有事業單位、金融機構制造業等占比為4.5%。
下圖為核危機行動魚叉郵件壓縮包中的一個偽裝成Word文件的專用木馬的圖標和文件名截圖。該文件偽裝成一份通信錄文件,同時,為了更好的偽裝誘餌文檔,攻擊者使用了RLO控制符。RLO控制符是Unicode控制符的一種,用來顯示中東文字,中東文字的書寫順序是從右到左的。攻擊者通過在文件名中插入RLO控制符,使得字符的顯示順序變成從右至左,從而來隱藏文件的真實擴展名。
當受害者點擊打開這個偽裝成Word文檔的專用木馬后,木馬會在釋放攻擊代碼的同時,釋放一個真正的Word文檔。下圖為該誘餌Word文檔打開后的信息內容,其中信息確實是一份詳細的通訊錄。可見,該組織在文件偽裝方面確實下足了功夫。
下面是我們截獲的另一個使用了RLO偽裝的專用木馬樣本信息及該樣本打開后的截圖。該文件的文件名格式偽裝方法與前述兩個樣本相同,但具體內容則偽裝成了一份智庫文件。
2018年4月,我們捕獲到了一次核危機行動的最新攻擊活動。某些重要的政府和企業機構的郵箱用戶收到一份發自boaostaff[@]163.com的魚叉郵件,魚叉郵件仿冒博鰲亞洲論壇主辦方向受害者發送了一封邀請函:
郵件附件是一個163郵箱的云附件,為RAR壓縮包文件。點開云附件,會跳轉到對應的云端下載地址將附件下載到本地,這一過程與早期的攻擊活動大致相同。
不同的是,此次新攻擊下載得到的附件包含的是一個惡意LNK文件:
一旦受害者被誘導打開該LNK文件,LNK文件便會通過執行文件中附帶的PowerShell惡意腳本來收集上傳用戶電腦中的敏感文件,并安裝持久化后門程序長期監控用戶計算機。
第三章?變化的攻擊方式和技術
近年來,隨著APT威脅攻防雙方的技術博弈,APT攻擊所使用的攻擊方式和技術變得更加成熟和體系化,并且也呈現出一些變化。
我們結合APT攻擊活動的生命周期和戰術特點對當前主要的攻擊戰術技術特點進行總結,并橫向比較主要的APT組織近期常用的攻擊技術。
一 、攻擊入口
當前APT攻擊活動中,初始攻擊入口通常以魚叉攻擊和水坑攻擊為主,利用釣魚郵件或基于即時通訊和社交網絡的誘導攻擊也頻繁出現。
結合社會工程學針對目標人員郵箱的攻擊方式往往能夠比較容易達成初步的攻擊入口,其原因主要如下:
1)???結合對攻擊目標組織或機構的信息收集,能夠比較容易獲取組織人員的相關郵箱地址信息;
2)???結合社會工程學往往能夠迷惑目標人員的安全防范意識,提高攻擊的成功率;
3)???郵件通常為企業或機構的目標人員最常用的通信方式,對郵箱的攻擊,不僅能夠實現初始的攻擊植入,達到攻擊立足點,并且更容易進一步用于收集賬戶憑據和內網的橫向移動。
360威脅情報中心聯合Coremail在上半年也發布報告“2017中國企業郵箱安全性研究報告”[1],對郵箱安全性和流行的攻擊方式進行分析。
我們結合魚叉郵件投遞載荷的形態進行橫向對比。
| 誘導文檔附件 | 載荷文件壓縮包 | 釣魚鏈接 | 入侵網站鏈接 | Drive-by Download | |
|---|---|---|---|---|---|
| 海蓮花 | √ | ||||
| 摩訶草 | √ | √ | |||
| Darkhotel | √ | ||||
| APT-C-01 | √ | √ | |||
| Group 123 | √ | √ | √ | ||
| APT28 | √ | √ | √ | √ |
表9??部分APT組織魚叉郵件攻擊特點對比
二、?初始植入
APT組織利用魚叉郵件等方式誘導受害目標點擊和下載誘導文件,其結合社會工程學技術誘導攻擊目標人員觸發執行誘導文件。
其中用于誘導目標人員的技術方式主要有如下幾種。
1)???投遞偽裝的PE文件,文件名利用RLO技術欺騙;
2)???投遞偽裝的PE文件,利用超長文件名或空格填充來隱蔽可執行文件后綴;
3)???偽裝成Office文檔,PDF或其它文檔的圖標;
4)???將釣魚鏈接采用短鏈接,或偽裝和目標熟悉的域名極為相似的域名地址。
誘導文件通常包含用于初始植入的攻擊代碼,并主要用于下載和植入第一階段的木馬或后門。我們總結了APT組織常用的初始植入載荷形態和利用的技術,并進行橫向比較。
| 文檔漏洞 | DDE | 惡意宏 | HTA | 執行腳本 | PowerShell | LNK | PE捆綁 | |
|---|---|---|---|---|---|---|---|---|
| 海蓮花 | √ | √ | √ | √ | √ | |||
| 摩訶草 | √ | √ | √ | √ | ||||
| Darkhotel | √ | √ | ||||||
| APT-C-01 | √ | √ | √ | √ | ||||
| Group 123 | √ | √ | √ | |||||
| APT28 | √ | √ | √ | √ | √ |
表10??部分APT組織初始植入載荷形態和利用技術
三、?載荷執行和持久化
APT組織針對目標的主體攻擊載荷植入和執行主要分成兩個階段,第一階段植入的攻擊載荷主要用于收集信息,包括主機信息,文檔資料等。
攻擊組織結合收集的信息確定高價值目標,選擇性的植入第二階段載荷執行更加隱匿和持久性的監控活動。
我們總結了APT組織常見的攻擊載荷實現方式并進行橫向對比。
| C/C++ | .Net | PowerShell | AutoIt | Delphi | Cobalt Strike | 開源攻擊代碼 | |
|---|---|---|---|---|---|---|---|
| 海蓮花 | √ | √ | √ | √ | |||
| 摩訶草 | √ | √ | √ | √ | |||
| Darkhotel | √ | √ | √ | ||||
| APT-C-01 | √ | √ | |||||
| Group 123 | √ | √ | |||||
| APT28 | √ | √ | √ | √ |
表11??部分APT組織的攻擊載荷實現方式
面對攻擊目標主機的一些安全防御機制,以及達到更加隱匿植入和持久化控制的目的,攻擊者會主要利用以下的一些攻擊技術。
| 白利用 | DLL劫持 | UAC繞過 | 圖片隱寫 | PE反射加載 | 任務計劃 | CLSID注冊表修改 | |
|---|---|---|---|---|---|---|---|
| 海蓮花 | √ | √ | √ | √ | |||
| 摩訶草 | √ | √ | |||||
| Darkhotel | √ | √ | √ | √ | |||
| Group 123 | √ | ||||||
| APT28 | √ |
表12??部分APT組織的攻擊技術對比
四、?回傳和命令控制
APT攻擊行動的目的除了對目標主機和內網進行長期的攻擊滲透外,還包括對目標網絡的持久化控制與監控,以及收集目標網絡中的情報信息。為了避免被輕易追溯,通常會實現更加隱匿的控制回傳網絡。在過去,威脅分析人員會根據控制域名的注冊信息將攻擊活動進行關聯,然而隨著域名隱私保護以及一些數據保護政策導致這種方式的效果大打折扣。部分APT組織也會使用動態域名,云服務等作為其慣用的攻擊手法。
| 域名注冊 | 動態域名 | 云存儲服務 | DGA | DNS隧道 | 失陷網站 | |
|---|---|---|---|---|---|---|
| 海蓮花 | √ | √ | ||||
| 摩訶草 | √ | |||||
| Darkhotel | √ | |||||
| APT-C-01 | √ | |||||
| Group 123 | √ | √ | ||||
| APT28 | √ | √ |
表13??部分APT組織C&C服務器實現方法分析
第四章?面向新的威脅場景和趨勢
隨著近年來APT威脅的攻防技術對抗升級,APT組織也在不斷演進其攻擊的戰術思路和技術手段,在近年來的APT攻擊活動中,也出現了一些新的威脅場景和趨勢,下面總結了一些威脅趨勢的觀點。
一、?APT組織的0day漏洞利用能力日益提升
在過去的APT攻擊中,漏洞的利用通常伴隨著大部分的攻擊行動,其中利用文檔和Flash類漏洞結合魚叉攻擊為APT攻擊中主流的攻擊入口。360威脅情報中心在上半年也總結了“近年來APT組織使用的10大(類)安全漏洞”一文[1]。
特別的,在APT攻擊中,0day漏洞的發現和利用能力通常可以用于評估APT組織的技術能力。例如,在被泄露的方程式組織相關資料中,就可以看到該組織儲備了大量的針對多平臺的0day漏洞利用技術。
下表給出了2018年上半年,國內外多家安全廠商發現和披露的與APT相關的0day漏洞利用情況。有趣的是,其中一些0day漏洞在被用于實際攻擊之前,就被意外泄露了。
| 漏洞編號 | 漏洞類型 | 0day漏洞 | 攻擊前意外泄露 |
|---|---|---|---|
| CVE-2018-0802 | Office文檔漏洞 | √ | |
| CVE-2018-4990 | PDF文檔漏洞 | √ | |
| CVE-2018-8120 | Windows提權漏洞 | √ | |
| CVE-2018-4878 | Flash漏洞 | √ | |
| CVE-2018-8174 | 瀏覽器漏洞 | √ | |
| CVE-2018-5002 | Flash漏洞 | √ |
表14? 2018上半年APT組織使用的0day漏洞
2018年4月18日,360高級威脅應對團隊監控發現到高危0day漏洞。該漏洞影響最新版本的IE瀏覽器及使用IE內核的應用程序,且已被發現用于有蓄謀有計劃的APT攻擊。當天,360核心安全事業部高級威脅應對團隊立即與微軟積極溝通,將漏洞細節信息提交到微軟。微軟在4月20日早上確認此漏洞,并于5月8號發布了官方安全補丁,對該0day漏洞進行了修復,將其命名為CVE-2018-8174。
另外,360高級威脅應對團隊還首次在野外捕獲了CVE-2018-0802 Office 0day被用于執行APT攻擊,軟件廠商得到了第一時間的通知并確認。
CVE-2018-8174是?Windows VBScript Engine?代碼執行漏洞。由于VBScript腳本執行引擎(vbscript.dll)存在代碼執行漏洞,攻擊者可以將惡意的VBScript嵌入到Office文件或者網站中,一旦用戶不小心點擊,遠程攻擊者可以獲取當前用戶權限執行腳本中的惡意代碼。
| 時間 | 進程 |
|---|---|
| 2018年4月18日 | 360核心安全事業部高級威脅應對團隊發現高危漏洞 |
| 2018年4月19日 | 360核心安全事業部高級威脅應對團隊將漏洞的詳細信息提交至微軟 |
| 2018年4月20日早晨 | 微軟官方確認漏洞 |
| 2018年5月9日凌晨 | 微軟發布新一輪安全更新,修復漏洞,并公開致謝360 |
| 2018年5月9日 | 360核心安全事業部高級威脅應對團隊發布詳細版報告披露漏洞細節 |
表15? CVE-2018-8174的發現到修復的歷程
此次捕獲到的APT攻擊相關的誘餌文檔為猶太小語種的意第緒語內容,文檔通過CVE-2017-0199的OLE autolink漏洞利用方式嵌入惡意網頁,所有的漏洞利用代碼和惡意荷載都通過遠程的服務器加載。
中招用戶點擊打開誘餌文檔后,首先Word進程將訪問遠程的IE vbscript? 0day(CVE-2018-8174)網頁,漏洞觸發后將執行Shellcode,然后再發起多個請求從遠程的服務器獲取payload數據解密執行。
Payload在執行的過程中Word進程會在本地釋放3個DLL后門程序,通過Powershell命令和Rundll32命令分別執行安裝后門程序,后門的執行過程使用了公開的UAC繞過技術,并利用了文件隱寫技術和內存反射加載的方式來避免流量監測和實現無文件落地加載。
利用CVE-2018-8174漏洞進行攻擊的主要過程如下圖所示:
二、?開源工具和自動化攻擊框架提高了APT攻擊效率
近年來,隨著PowerShell實現的自動化攻擊框架和攻擊利用代碼越來越成熟,APT組織頻繁使用PowerShell作為初始植入和攻擊載荷的實現,并利用混淆技術對抗分析檢測。
APT組織更多利用一些開源攻擊代碼和工具一定程度降低了攻擊實現的成本,并且更加靈活。例如海蓮花使用Cobalt Strike生成的Shellcode和beacon模塊,APT28使用開源滲透工具Koadic[10]等。
除此以外,攻擊組織開始更多利用“living off the land”技術來減少自身研制的攻擊載荷投放到目標主機或網絡中。
三、?攻擊者加強對自身攻擊手法特點的掩蓋和迷惑性
APT攻擊組織更加注重對自身攻擊手法特征的掩蓋,以及使用一些手段來迷惑威脅分析人員。在2018年攻擊韓國平昌冬奧會的攻擊事件中,多家安全廠商對其攻擊來源給出來不同的猜測和推斷[4]。
以下總結了攻擊者常用的一些掩蓋和迷惑方式。
1)???在攻擊載荷中引入false flag,例如引入其他組織常用的語言和地域特征;
2)???模仿其他組織的攻擊載荷實現細節,例如動態獲取模塊和函數地址的方式,加密解密函數等;
3)???利用開源攻擊代碼和本地命令,減少攻擊組織自行研制的載荷投放,避免通過載荷的相似性實現背景的研判;
4)???減少與歷史攻擊使用的控制基礎設施信息的重疊,頻繁更換控制域名或使用動態域名或云服務等;
四、?移動設備和路由器攻擊是不可忽視的APT場景
針對高價值目標人員的移動終端的定向攻擊活動在近幾年也頻繁被披露,該類攻擊活動在中東地區尤為活躍,主要用于收集目標人員信息和監控的目的,例如上半年披露的Dark Caracal[24]和ZooPark[25]相關攻擊行動,攻擊者往往通過頻繁更新其木馬應用程序以達到繞過應用市場監測和持續性監控目標人員的目的,所以往往該類定向攻擊也滿足長期持久性的攻擊特點。
而針對路由器的攻擊也逐漸成為APT攻擊組織新的威脅場景[26],例如Slingshot[17]和VPNFilter事件[7]。
2018年7月,360烽火實驗室在監測黃金鼠組織(APT-C-27)的攻擊活動過程中,發現其新版本的移動端手機攻擊樣本首次具備了針對PC的RAT誘導跨越攻擊[28],開啟了移動端手機跨越攻擊的“潘多拉魔盒”。
新版本的移動端手機攻擊樣本除了保留原版的移動端RAT功能之外,還新增移動存儲介質誘導攻擊方式,首次實現了從移動端到PC端的攻擊跨越,其攻擊細節如下:
第一步:移動端攻擊樣本攜帶針對PC的PE格式RAT攻擊文件“hmzvbs”。
第二步:移動端手機攻擊樣本運行后,立即把該針對PC的RAT攻擊文件“hmzvbs”,釋放到指定好的移動端外置存儲設備中的圖片目錄下進行特殊名稱的偽裝。這個偽裝實現了跨越攻擊前的特殊準備,該偽裝具有兩個特點:攻擊文件名稱偽裝成常見的圖片相關目錄名;攻擊文件的擴展名為“.PIF”(該擴展名代表MS-DOS程序的快捷方式,意味著在PC上可直接運行)。
第三步:借助用戶會不定期使用PC來瀏覽移動端手機里照片的一種習慣,當受到移動端攻擊的目標,使用PC瀏覽移動端手機里的照片,一旦被誘導觸發到偽裝后的“圖片目錄”?(該偽裝對于普通用戶較難識別發現),即運行起該PE RAT攻擊文件,從而使PC遭受RAT攻擊。
總結
360威脅情報中心結合近半年的公開APT情報和內部威脅情報數據,總結了當前主要活躍的APT組織現狀和使用的攻擊戰術技術特點。我們認為攻擊者正在不斷演變其攻擊手法和攻擊工具,以更有效的達到攻擊的目的和效果,并加強對自身活動的隱藏。在這種對抗升級的趨勢下,純粹基于惡意載荷的相似程度來評判其攻擊來源已經變得不是那樣可靠,結合更多維度的威脅情報數據,評估攻擊者的真實攻擊意圖和動機,以及對攻擊TTP的分析能夠更好的提高背景研判的準確程度。
我們也總結了部分常用的攻擊方式和技術手段,并對APT威脅的趨勢提出了一些觀點和看法,期望能對當前業內針對高級威脅防御策略和威脅發現有所幫助。
附錄 參考鏈接
2.?https://www.symantec.com/blogs/threat-intelligence/inception-framework-hiding-behind-proxies
4.?https://blog.talosintelligence.com/2018/02/who-wasnt-responsible-for-olympic.html
5. https://www.recordedfuture.com/iran-hacker-hierarchy/
6.?https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html
7.?https://blog.talosintelligence.com/2018/05/VPNFilter.html
8.?https://apnews.com/4d174e45ef5843a0ba82e804f080988f
9.?https://asert.arbornetworks.com/lojack-becomes-a-double-agent/
10.?https://researchcenter.paloaltonetworks.com/2018/06/unit42-sofacy-groups-parallel-attacks/
11.??https://securelist.com/masha-and-these-bears/84311/
12.?https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/
14.??https://www.dragos.com/blog/20180531Covellite.html
15.??https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html
16.?https://blog.talosintelligence.com/2018/01/korea-in-crosshairs.html
17.??https://securelist.com/apt-slingshot/84312/
18.??https://www.cyberscoop.com/kaspersky-slingshot-isis-operation-socom-five-eyes/
21.??https://asert.arbornetworks.com/donot-team-leverages-new-modular-malware-framework-south-asia/
23.??https://www.volexity.com/blog/2018/06/07/patchwork-apt-group-targets-us-think-tanks/
24.??https://info.lookout.com/rs/051-ESQ-475/images/Lookout_Dark-Caracal_srr_20180118_us_v.1.0.pdf
25.? ?https://securelist.com/whos-who-in-the-zoo/85394/
27.???https://ti.360.net/blog/articles/analysis-of-apt-c-27/
28.??http://zt.360.cn/1101061855.php?dtid=1101061451&did=210702435
29.??http://zt.360.cn/1101061855.php?dtid=1101062370&did=210645168